Message d'erreur iptables

Support Debian
#1

bonjour

suite à la reinstall d’une squeeze, le firewall me sort une erreur au lancement

ou dois je mettre “!” ??

ou sinon par quelle regles remplacer ??

les lignes concernées

iptables -A FORWARD -i $LAN_DEV -o $INET_DEV -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i $WIFI_DEV -o $INET_DEV -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i $LAN_DEV -o $WIFI_DEV -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags ! ALL SYN -m state --state NEW -m limit --limit 3/s -j LOG --log-prefix "FORWARD TCP sans SYN: "
iptables -A FORWARD -p tcp --tcp-flags ! ALL SYN -m state --state NEW -j DROP

a+ merci

#2

Il suffit de remplacer :

par :

#3

:023

merci

#4

Bon, la grosse blague, c’est que sur la dernière version d’iptables, l’autre syntaxe ne fonctionne pas non plus :

Donc on ne peut plus utiliser la négation avec --state, il faut donc mettre :

(ou bien ne pas mettre de --state et laisser quand même passer les INVALID)

Apparemment, on peut utiliser conntrack au lieu de state aussi : spinics.net/lists/netfilter- … 18950.html

Il y a un rapport de bugs chez debian sur ce sujet : bugs.debian.org/cgi-bin/bugreport.cgi?bug=634769

#5

Résurrection quand tu nous tiens …

Au passage de Wheezy la syntaxe sera celle-ci.

Debian Bug report logs - #702064

#!/bin/sh -x ... iptables -A INPUT -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o eth0 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT ... iptables -A INPUT -p tcp -m tcp -m conntrack -i eth0 --dport 995 --sport 1024:65535 --ctstate NEW -j ACCEPT ...

#6

Non, l’obsolescence de la correspondance ‘state’ a finalement été abandonnée par les développeurs amont d’iptables. L’avertissement est donc sans objet et peut être ignoré sans souci.

#7

[code][08:27:04][root@Sid] ~ # /etc/init.d/iptables start

  • iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    WARNING: The state match is obsolete. Use conntrack instead.
  • iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    WARNING: The state match is obsolete. Use conntrack instead.
  • iptables -N LOG_DROP_INPUT
    … [/code]

[10:20:25][root@Sid] ~ # acp iptables iptables: Installé : 1.4.16.3-4 Candidat : 1.4.16.3-4 Table de version : *** 1.4.16.3-4 0 987 http://ftp.fr.debian.org/debian/ sid/main i386 Packages 100 /var/lib/dpkg/status 1.4.14-3.1 0 980 http://ftp.fr.debian.org/debian/ wheezy/main i386 Packages 1.4.8-3 0 983 http://ftp.fr.debian.org/debian/ squeeze/main i386 Packages [10:20:33][root@Sid] ~ #

#8

http://www.netfilter.org/projects/iptables/files/changes-iptables-1.4.18.txt
Extrait :

Jozsef Kadlecsik (3):
      Introduce match/target aliases
      Add the "state" alias to the "conntrack" match